Было обнаружено, что более 50% из 90 310 хостов предоставляют доступ к сервису Tinyproxy в Интернете, который уязвим из-за критической неисправленной уязвимости безопасности в инструменте прокси HTTP / HTTPS.
Проблема, отслеживаемая как CVE-2023-49606, имеет оценку CVSS 9,8 из максимально возможных 10, согласно Cisco Talos, которая описала ее как ошибку после удаления, влияющую на версии 1.10.0 и 1.11.1, которые являются последней версией.
"Специально созданный HTTP-заголовок может вызвать повторное использование ранее освобожденной памяти, что приводит к повреждению памяти и может привести к удаленному выполнению кода", - сказал Талос в рекомендации на прошлой неделе. "Злоумышленнику необходимо выполнить HTTP-запрос без проверки подлинности, чтобы активировать эту уязвимость".
Другими словами, субъект угрозы, не прошедший проверку подлинности, может отправить специально созданный заголовок HTTP-соединения, чтобы вызвать повреждение памяти, что может привести к удаленному выполнению кода.
Согласно данным, которыми поделилась компания по управлению поверхностью атаки Censys, из 90 310 хостов, предоставляющих сервис Tinyproxy для общедоступного Интернета по состоянию на май, 3, 2024, 52,000 (~57%) на некоторых из них установлена уязвимая версия Tinyproxy.
Большинство общедоступных хостов расположены в США (32 846), Южной Корее (18 358), Китае (7808), Франции (5 208) и Германии (3680).
Компания Talos, которая сообщила о проблеме 22 декабря 2023 года, также выпустила документ, подтверждающий концепцию (PoC) этой ошибки, описывающий, как проблема с синтаксическим анализом HTTP-соединений может быть использована для запуска сбоя и, в некоторых случаях, выполнения кода.
Сопровождающие Tinyproxy в наборе коммитов, сделанных на выходных, обвинили Talos в отправке отчета на, вероятно, "устаревший адрес электронной почты", добавив, что они были проинформированы сопровождающим пакета Debian Tinyproxy 5 мая 2024 года.
"Проблема с GitHub не была зарегистрирована, и никто не упомянул уязвимость в упомянутом IRC-чате", - сказал rofl0r в коммите. "Если бы о проблеме сообщили на Github или IRC, ошибка была бы исправлена в течение дня".
Пользователям рекомендуется обновляться до последней версии по мере их появления. Также рекомендуется, чтобы служба Tinyproxy не была доступна в общедоступном Интернете.
Проблема, отслеживаемая как CVE-2023-49606, имеет оценку CVSS 9,8 из максимально возможных 10, согласно Cisco Talos, которая описала ее как ошибку после удаления, влияющую на версии 1.10.0 и 1.11.1, которые являются последней версией.
"Специально созданный HTTP-заголовок может вызвать повторное использование ранее освобожденной памяти, что приводит к повреждению памяти и может привести к удаленному выполнению кода", - сказал Талос в рекомендации на прошлой неделе. "Злоумышленнику необходимо выполнить HTTP-запрос без проверки подлинности, чтобы активировать эту уязвимость".
Другими словами, субъект угрозы, не прошедший проверку подлинности, может отправить специально созданный заголовок HTTP-соединения, чтобы вызвать повреждение памяти, что может привести к удаленному выполнению кода.
Согласно данным, которыми поделилась компания по управлению поверхностью атаки Censys, из 90 310 хостов, предоставляющих сервис Tinyproxy для общедоступного Интернета по состоянию на май, 3, 2024, 52,000 (~57%) на некоторых из них установлена уязвимая версия Tinyproxy.
Большинство общедоступных хостов расположены в США (32 846), Южной Корее (18 358), Китае (7808), Франции (5 208) и Германии (3680).
Компания Talos, которая сообщила о проблеме 22 декабря 2023 года, также выпустила документ, подтверждающий концепцию (PoC) этой ошибки, описывающий, как проблема с синтаксическим анализом HTTP-соединений может быть использована для запуска сбоя и, в некоторых случаях, выполнения кода.
Сопровождающие Tinyproxy в наборе коммитов, сделанных на выходных, обвинили Talos в отправке отчета на, вероятно, "устаревший адрес электронной почты", добавив, что они были проинформированы сопровождающим пакета Debian Tinyproxy 5 мая 2024 года.
"Проблема с GitHub не была зарегистрирована, и никто не упомянул уязвимость в упомянутом IRC-чате", - сказал rofl0r в коммите. "Если бы о проблеме сообщили на Github или IRC, ошибка была бы исправлена в течение дня".
Пользователям рекомендуется обновляться до последней версии по мере их появления. Также рекомендуется, чтобы служба Tinyproxy не была доступна в общедоступном Интернете.
